Prague, République tchèque, le 14 juin - Trouver l’âme sœur pour une vie ou une nuit, tel est l’objectif des sites de rencontre. Cela explique que, contrairement aux réseaux sociaux, l’utilisateur désactivera son compte à un moment donné, lorsqu'il aura atteint son objectif. Mais qu'adviendra-t-il de ses données ?
Avast (LSE : AVST), un leader mondial de la sécurité numérique et de la confidentialité, recommande d’être vigilant quant à l’utilisation des données dès lors que le compte de l’utilisateur est désactivé. Un site ou une application de rencontre récolte beaucoup d’informations afin de proposer des profils de partenaires adaptés à notre personnalité et nos envies. Ainsi, l’utilisateur partage un bon nombre d’informations extrêmement personnelles. En outre, des sites comme Tinder et Grindr collectent beaucoup d'informations en arrière-plan, souvent à l'insu de l'utilisateur.
Que collectent ces sites, et que font-ils des données ?
Emma McGowan, experte en sécurité chez Avast, a mené une analyse se concentrant sur les principaux sites et applications de rencontres : Match Group (qui comprend entre autres Tinder et Match.com), Grindr ou encore Bumble. Pour ces sites, vous aurez au minimum besoin de fournir votre emplacement, votre orientation sexuelle et votre genre (homme, femme, autre).
Match Group
Match Group affirme ne pas partager les informations des utilisateurs entre ses différents sites et applications à des fins commerciales, sauf si l’utilisateur en fait la demande. Cependant, Match Group affirme dans sa politique de confidentialité partager ces informations à des « fins limitées et critiques, y compris pour des audits d'entreprise, analyses et rapports consolidés, pour se conformer à la loi applicable et pour aider à assurer la sécurité des utilisateurs ».
Grindr
L’application pour les LGBTQIA+ Grindr, quant à elle, collecte beaucoup d'informations personnelles y compris le statut VIH de l’utilisateur. Malgré le fait que sa communauté soit plus souvent vulnérable, en particulier dans les pays dotés de lois anti-LGBT, Grindr n'a pas de bons antécédents en matière de protection de toutes ces informations, du moins sous ses anciens propriétaires. Cela est assez inquiétant, notamment pour la nudité, un élément très présent sur l’application et qui a un fort potentiel d’exposition. Les nouveaux propriétaires de Grindr ont alors mis en place une nouvelle plateforme de gestion des consentements en avril 2020. Les données sont désormais conservées pendant une durée plus courte, ce qui représente une bonne nouvelle pour les utilisateurs, car moins les photos et les messages restent sur un serveur, moins ils sont susceptibles d’être utilisés par des personnes mal attentionnées.
Bumble
Créée par un de cofondateurs de Tinder, l’application Bumble collecte les noms des utilisateurs, au moins une photo, la date de naissance, le sexe, le type de relation qu'ils recherchent, la profession, l'éducation, s'ils sont intéressés par une rencontre pendant les restrictions liées au Covid, la ville d'habitation, la ville natale, la profession, le signe astrologique, la consommation d'alcool, le tabagisme, les animaux domestiques, ce que recherche l'utilisateur, s'il veut des enfants ou non, la religion, la position politique et le contenu des messages.
Selon la politique de confidentialité de Bumble, ils ne « vendent » pas les données des utilisateurs (d’après la définition légale de « vendre ») mais ils partagent des données démographiques et de localisation avec des annonceurs tiers. Ils partagent également des données non personnelles avec des tiers à des fins de « recherche et d'analyse ».
Que collectent ces sites, et que font-ils des données ?
Malheureusement, la réponse n'est pas si claire. Emma McGowan a contacté tous les sites et applications couverts ici et n'a reçu qu’une réponse, celle de Match Group. Leur représentant a souligné leurs « principes de confidentialité », qui stipulent : « Une fois que vous supprimez votre compte, le compte n'est plus visible sur le service. À partir de là, nous supprimons les informations soumises à nos intérêts légitimes, y compris les obligations légales de conserver les données à des fins de litige et de travailler pour éliminer les personnes malveillantes et les tenir à l'écart de nos plateformes. »
Ce retour ne répond pas exactement à la question de la spécialiste... Match Group a-t-il toujours toutes ces données ? Malheureusement, à ce stade, il n'est pas possible de le confirmer totalement.
La politique de confidentialité de Grindr est plus explicite. Par exemple, les messages sont stockés sur les serveurs jusqu'à 48 heures seulement après leur émission. Ils suppriment également les messages vidéo après 14 jours et les images anonymisées après 120 jours. Et si un utilisateur supprime son compte, Grindr efface pratiquement tout sur lui au bout de sept jours.
Enfin, Bumble déclare supprimer les données des utilisateurs de leurs systèmes à partir de 28 jours après leur désactivation. Ils conservent les informations dont ils peuvent avoir besoin à des fins légales (pour se conformer à la loi applicable, résoudre les réclamations ou les litiges en suspens, prévenir la fraude ou les abus sur la plate-forme) et gardent le silence sur les comptes laissés en sommeil. Comme beaucoup d'autres plateformes de rencontres, Bumble affirme ne pas conserver les données des utilisateurs tant qu'ils en ont légalement besoin et que la loi le permet.
Qu'advient-il des données cumulées lorsqu’on supprime son compte ?
L'un des meilleurs moyens, et souvent aussi le plus compliqué, de vous protéger en ligne consiste à supprimer les anciens comptes (et ne surtout pas les laisser simplement en sommeil) et, si possible, à supprimer toutes les données que ce compte à collecter à votre sujet. Mais tout le monde n'a pas les mêmes droits : “Si une personne vit en Californie, par exemple, elle est protégée par le California Consumer Privacy Act (CCPA) et a le droit de faire supprimer toutes ses données. En Europe et au Royaume-Uni, elle est protégée par le RGPD et a également ce droit. Ailleurs, l’utilisateur peut également demander la suppression de ses données et attendre la réaction des sociétés en question : certaines s'y conformeront sans hésitation, tandis que vous devrez peut-être ardemment défendre vos droits auprès d'autres ! » conclut Emma McGowan.
Si un utilisateur n'est pas sûr des sites qu'il a utilisés dans le passé, il peut suivre ces instructions pour trouver d'anciens comptes ou utiliser un service tel que BrandYourself, qui dispose d'un outil de confidentialité qui contactera les anciens comptes associés à son adresse e-mail et leur demandera qu’ils soient supprimés.